París intenta contener la filtración de su ‘WhatsApp estatal’ mientras la ANSSI persigue al atacante
El atacante comprometió una sola cuenta del Ministerio de Educación nacional mediante un ataque de ingeniería social. La hoja de ruta de aquel acceso —un log-in legítimo robado— bastó para rascar 650.000 mensajes y 13,5 gigabytes de documentos alojados en canales públicos. El pasado 7 de junio, la aplicación de mensajería Tchap, obligatoria para toda la administración francesa desde el verano de 2025, se convirtió en el último blanco de una brecha que expuso datos de 73.000 agentes del Estado.
La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) detectó la intrusión ese mismo sábado y activó los protocolos de respuesta. La Dirección Interministerial de lo Digital (DINUM) confirmó horas después lo que ya circulaba por canales de ciberseguridad: alguien había entrado. No hubo exploit sofisticado ni vulnerabilidad de día cero. El agujero fue humano.
El atacante explicó su metodología en un foro especializado antes de que el gobierno emitiera comunicado alguno. Se hizo con un cuenta válida del shard educativo tras manipular a un funcionario. Con ese único perfil escaló lateralmente hacia salas de chat abiertas, diseñadas sin cifrado de extremo a extremo, y comenzó a aspirar contenido público. Encontró allí mensajes que jamás deberían haber circulado sin protección, metadatos de dispositivo, direcciones de correo y, según su propio relato, credenciales LDAP filtradas en un script de PowerShell compartido por un director regional de la Hacienda gala.
La DINUM intentó rebajar la alarma en una nota oficial donde reiteró que las conversaciones privadas sí estaban protegidas con cifrado end-to-end y que el acceso a históricos seguía bloqueado incluso con una cuenta comprometida. Pero la arquitectura de Tchap, basada en el protocolo Matrix, distingue entre salas públicas —legibles para cualquier usuario— y salas privadas cifradas. La masa de datos escurrida procede íntegramente de las primeras.
Y ahí está el problema de fondo. Recordar a 300.000 usuarios que no deben intercambiar información sensible en canales públicos después de un incidente de esta escala es una confesión de que la cultura de seguridad no acompañó a la imposición de la herramienta.
La seguridad de una plataforma obligatoria para 300.000 usuarios se ha puesto en jaque con una técnica que no requiere exploits sofisticados: bastó un engaño telefónico a un funcionario.
La DINUM ya ha bloqueado la cuenta origen y ha notificado a la CNIL —la autoridad de protección de datos— la exposición potencial de datos personales como nombre, apellido, correo electrónico y entidad de pertenencia. Mientras tanto, el atacante sigue ofreciendo detalles: asegura haber raspado casi tres años de intercambios internos y alardea de haber accedido a más shards si hubiera tenido tiempo.
El calendario agrava el impacto. El primer ministro François Bayrou había convertido Tchap en obligatorio en agosto de 2025 para todos los funcionarios civiles, vetando de paso las aplicaciones de mensajería extranjeras para comunicación profesional. La migración masiva no vino acompañada —a juzgar por las evidencias— de una auditoría de seguridad proporcional al nuevo riesgo. Es la secuencia que los equipos rojos conocen bien: subes usuarios, amplías superficie de ataque y, si no refuerzas la concienciación, el eslabón más débil cede.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que ha tumbado momentáneamente la confianza en Tchap es un ataque de ingeniería social puro, sin tecnicismos sofisticados. No hubo malware novedoso ni un APT patrocinado por un Estado —al menos según la evidencia pública—, sino la combinación letal de una credencial robada y una arquitectura que exponía contenido no cifrado en canales por defecto. El modus operandi recuerda a las intrusiones de grupos hacktivistas que buscan más el ruido mediático que el robo silencioso de inteligencia, aunque el volumen de metadatos y las filtraciones de credenciales de infraestructura interna (LDAP) añaden una capa de alarma que no conviene subestimar.
Las agencias implicadas dibujan un triángulo clásico: un atacante aún sin atribución firme, una defensa representada por la ANSSI y la DINUM, y una legión de observadores que van desde la Comisión Europea —que impulsa su propia mensajería soberana— hasta los servicios de inteligencia de Estados miembros. En España, el CNI monitoriza muy de cerca cualquier incidente en infraestructuras de comunicación cifrada de nuestros socios; el protocolo Matrix no es ajeno a La Moncloa. La cuestión de fondo es si otras administraciones que confían en el mismo estándar técnico han extraído ya lecciones de este tropiezo.
El material expuesto no contenía secretos de Estado, pero sí información personal de 73.000 agentes públicos y comunicaciones internas que, aunque oficialmente debían ser banales, revelan patrones de trabajo, organigramas funcionales y fragmentos de inteligencia de fuente humana indirecta. Estimo que el nivel de clasificación real del lote filtrado oscila entre “Sin Clasificar pero Sensible” y “Difusión Limitada”, dependiendo de qué se haya compartido en esos canales que no debería haberse compartido. La lección más amarga, sin embargo, viene del precedente histórico: en 2019, la intranet del Servicio Europeo de Acción Exterior sufrió una brecha que dejó al descubierto cables diplomáticos. Aquel caso demostró que los sistemas seguros dejan de serlo cuando los usuarios no entienden las reglas del juego.
La posición editorial que sostengo es que París ha corrido demasiado al imponer Tchap sin un programa de cambio cultural equivalente, y que ahora le toca pagar la factura en credibilidad. No creo que la plataforma esté comprometida técnicamente, pero el incidente subraya un fallo de higiene digital que la ANSSI deberá corregir con formación masiva y una revisión de los permisos de las salas públicas. El riesgo inmediato para España es nulo, pero la advertencia es nítida: cualquier administración que migre a herramientas corporativas de mensajería sin reeducar a sus empleados se expondrá al mismo ridículo.
El próximo hito relevante será el dictamen de la CNIL, previsiblemente en las próximas semanas, y, sobre todo, la auditoría forense que la propia ANSSI está llevando a cabo para determinar si existió algún acceso a salas privadas mediante escalada de privilegios. Mientras tanto, los 73.000 funcionarios franceses ya saben que un clic en el enlace equivocado puede dejar sus nombres a la vista de cualquiera.
